Boletines de Vulnerabilidades

int(1995)

Boletines de Vulnerabilidades

Múltiple vulnerabilidades en gnump3d
Clasificación de la vulnerabilidad
Propiedad	Valor
Nivel de Confianza	Oficial
Impacto	Aumento de la visibilidad
Dificultad	Experto
Requerimientos del atacante	Acceso remoto sin cuenta a un servicio exotico
Información sobre el sistema
Propiedad	Valor
Fabricante afectado	GNU/Linux
Software afectado	Gnump3d < 2.9.8
Descripción
Se han descubierto múltiples vulnerabilidades en Gnump3d versión anterior a 2.9.8. Las vulnerabilidades se describen a continuación: - CVE-2005-3349: La vulnerabilidad reside en que múltiples ficheros temporales son creados de forma insegura. Un atacante local podría modificar o borrar ficheros arbitrarios mediante un ataque de enlace simbólico. - CVE-2005-3355: La vulnerabilidad reside en que la aplicación no valida correctamente ciertos parámetros CGI y tampoco valores en las cookies. Un atacante remoto podría acceder a otros contenidos mediante un ataque de "path traversal".
Solución
Actualización de software Debian Debian Linux 3.1 Source http://security.debian.org/pool/updates/main/g/gnump3d/gnump3d_2.9.3-1sarge3.dsc http://security.debian.org/pool/updates/main/g/gnump3d/gnump3d_2.9.3-1sarge3.diff.gz http://security.debian.org/pool/updates/main/g/gnump3d/gnump3d_2.9.3.orig.tar.gz Architecture independent http://security.debian.org/pool/updates/main/g/gnump3d/gnump3d_2.9.3-1sarge3_all.deb Suse Linux Las actualizaciones pueden descargarse mediante YAST o del servidor FTP oficial de Suse Linux
Identificadores estándar
Propiedad	Valor
CVE	CVE-2005-3349 CVE-2005-3355
BID
Recursos adicionales
Debian Security Advisory (DSA 901-1) http://lists.debian.org/debian-security-announce/debian-security-announce-2005/msg00299.html SUSE Security Advisory (SUSE-SR:2005:028) http://www.novell.com/linux/security/advisories/2005_28_sr.html